テクノロジー

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー脆弱性の克服などセキュリティー対策に尽力すべきだ

宮本久仁男氏

宮本久仁男氏

 今回は、株式会社NTTデータ(東京都江東区)品質保証部情報セキュリティ推進室の「NTTDATA-CERT(Computer Emergency Response Team)」シニアエキスパートである宮本久仁男氏の2回目。

-- 前回、宮本さんは2013年夏、日本の中央省庁がサイバー攻撃を受けたことに関し、その攻撃の中には「ゼロ・デイ脆弱性」が使われたものもあった、と言いました。ということはソフトウエアには「未発見の脆弱な部分」が多数あるということですね。

宮本 はい。どれくらいあるのか正確には分からないのですが、よく言われているのは「プログラム上の誤り・欠陥である『バグ』のないソフトウエアなどあるわけがない」ということです。また「ソフトウエアの規模が大きくなればなるほど『バグ』の数も多くなる」とも言われています。バグのうち悪用が可能だと確認されたものが「脆弱性」として管理されています。

 例えばマイクロソフト社のWindowsの場合、開発にあたっては多くの試験を実施し、脆弱性をなくそうとしていることは想像に難くありません。それでもなお見つかっていない脆弱性が多くあると考えられます。同社は毎月第2水曜日に、新たに見つかった脆弱性と、その修正ファイルを一覧表にして発表しています。それを見ると「今月はいっぱい出てきたな」と思う時もあります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー100件を超えた2013年の脆弱性の修正情報

-- これまで修正され、公開されたものはどれぐらいあったのでしょうか。

宮本 Windowsだけでなく、同社の他のソフトウエアも含めて見た場合、13年に公開された脆弱性の修正情報は100件を超えました。1件の情報に複数の脆弱性が含まれることも多いことから、報告・修正された脆弱性の数は、それ以上になるのではないでしょうか。

 ただし前回、説明したとおり、サイバー攻撃の多くは使い古された〝道具〟がまだ使われています。それは①既に攻撃方法が確立されており、低コストで実行できる②ツール化された安価なものが流通しており、簡単に入手できる--などからです。

 これに対してゼロ・デイ脆弱性を使っての「ゼロ・デイ・アタック」は少なく、全体の1%未満〜5%程度という調査結果も出ています。どうしてか。ゼロ・デイ・アタックは道具としては強力ですが、それには大変なコストがかかるからです。ですから「ここ一番」という時に使われます。例えば、09年に起きた「スタクスネット・ウイルス」によるイラン核施設に対する攻撃では、物すごいカネが掛けられ、贅沢にも4つのゼロ・デイ脆弱性が使われていました。

-- この攻撃は米国とイスラエルが共同で行ったと言われていますが。

宮本 「攻撃を絶対に成功させたい局面ではゼロ・デイ脆弱性への攻撃手段を躊躇することなく投入する」と言われています。ただし、それはカネをふんだんに出せる攻撃者の考え方と言っていいでしょう。ただ、この数カ月でゼロ・デイ脆弱性が使われる頻度が高くなってきているように見えます。油断したら足元をすくわれそうです。

-- ゼロ・デイ・アタックを受けた場合、それはすぐに分かるものですか。

宮本 即座には無理です。ただし「攻撃されたかもしれない」との疑いが持たれたPCについて汗をかきながら分析していくと、PC上で変なものが動いており、どこかの不審なホストにアクセスしているようだ、というのが2、3日で分かることもあります。しかし、どういう被害が出ているかが分かるまでには、もっと時間がかかります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーーPCの利用者に脆弱性をケアさせるのはおかしい

-- コンピューターには脆弱性が付き物であることは分かりました。私たちユーザーは「脆弱性」にどう対処していけばいいのでしょうか。 

宮本 具体的によく言われているのは「OSやアプリケーション環境の最新化」と「セキュリティーソフトウエアの最新化」です。既に判明・対処されている脆弱性についてはOSやアプリケーションの最新化によって、またウイルスをはじめとするマルウエア(悪意あるソフトウエア)のうちよく使われるものにはセキュリティーソフトウエアで対応可能です。

 ゼロ・デイ脆弱性が使われた攻撃については多くの場合、感染や被害が発覚した後の対応が多くなります。このような場合には、攻撃された事実を早期に特定することが重要です。発見自体もPC単体を調査した結果だけではなく、通信記録をはじめとする証跡類の精査を行った結果が手掛かりになることも多いですね。

-- 宮本さんはかねがね「家電感覚で使っても危なくないコンピューターを提供することが作り手側の課題だ」と発言していますね。作り手側は、ソフトウエアの作り方をもっと考えてほしいということですか。

宮本 そうです。ソフトウエアを作る側は脆弱性の問題を含めてセキュリティーにもう少し気を使ってもいいのではないか、もしくはそういうふうに考える人が作り手側にもっと増えてほしい、ということです。IT業界に限らず、あらゆる業界でソフトウエアが「キーパーツ」になってきています。そうした中で日々、ソフトウエアが内包している脆弱性の脅威にさらされている利用者がいるわけです。その利用者に脆弱性をケアさせるというのは作り手側としてどうなのか、と思います。

 例えば、ある日、それまで使っていたエアコンのスイッチを入れたところ「脆弱性が見つかりました。修正ファイルを入手して、対応してください」と言われたとした場合、「何だ? これは」と思うに違いありません。それと同じです。

-- 脆弱性問題の続きと、サイバー攻撃に対処し得る人材育成への取り組みついては次回、伺いましょう。

関連記事

好評連載

エネルギーフォーカス

一覧へ

緑の経済成長とエネルギー

[連載] エネルギーフォーカス

Energy Focus

[連載] エネルギーフォーカス

電力業界のイノベーション

[連載] エネルギーフォーカス

今後、10年後の電力業界の様相(2)

[連載] エネルギーフォーカス

発電単価から既存原発の経済性を考える

[連載] エネルギーフォーカス

日本は再生エネルギーで世界トップとなる決断を

テクノロジー潮流

一覧へ

科学技術開発とチームプレー

[連載] テクノロジー潮流

テクノロジー潮流

[連載] テクノロジー潮流

エボラ出血熱と情報セキュリティー

[連載] テクノロジー潮流

21世紀の日本のかたち 農電業と漁電業

[連載] テクノロジー潮流

工学システムの安全について

[連載] テクノロジー潮流

エネルギー移行と国民の価値観の変化

ビジネストレンド新着記事

注目企業

一覧へ

次世代の医療現場を支える病院経営の効率化を推進――保木潤一(ホギメディカル社長)

1964年にメッキンバッグを販売して以来、医療用不織布などの、医療現場の安全性を向上する製品の普及を担ってきた。国は医療費を抑える診断群分類別包括評価(DPC制度)の導入や、効率的な医療を行うため病院のさらなる機能分化を実施する方針を掲げており、病院経営も難しい時代に入っている。ホギメディカルは手術室の改善か…

刺激を浴びて徹底的に考え抜くことで自らを変革する―― 鎌田英治 グロービス 知命社中代表

ワンストップで手厚くサイトの売却をサポートするサイトマ――中島優太(エベレディア社長)

新社長登場

一覧へ

地域に根差した証券会社が迎えた創業100周年―藍澤卓弥(アイザワ証券社長)

中堅証券会社のアイザワ証券は今年7月、創業100周年を迎えた。この記念すべき年に父からバトンを受け継ぎ新社長となったのが、創業者のひ孫にあたる藍澤卓弥氏。地域密着を旗印に掲げてここまで成長してきたアイザワ証券だが、変化の激しい時代に、藍澤社長は何を引き継ぎ、何を変えていくのか。聞き手=関 慎夫 Photo:西…

メディカル事業を横串にすることでシナジーを発揮し、顧客満足度向上へ 伏見有貴(リゾートトラスト社長)

新事業の芽を伸ばすことでさらに大きな個性的な会社を目指す――日髙祥博(ヤマハ発動機社長)

イノベーターズ

一覧へ

老舗コニャックメゾンがブランド強化で日本市場を深耕――Remy Cointreau Japan代表取締役 宮﨑俊治

フランスの大手高級酒グループ、レミー・コアントロー社の日本法人。18世紀から愛飲されてきた名門コニャックの「レミーマルタン」や世界有数のリキュール「コアントロー」をはじめ、スピリッツやウイスキーなど戦略的なラインアップを日本市場で展開している。同社の宮﨑俊治代表取締役に事業展開について聞いた。 &nbs…

リグナ社長 小澤良介 家具のEC販売から様々な展開へ

内装空間の総合プロデュースで想いをカタチに創り上げる――ユニオンテック社長 大川祐介

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸教育部…

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2018年12月号
[特集]
平成 ランキングで振り返る“時代”の経営者

  • ・バブル破裂で顔ぶれ一新 平成人気経営者の系譜
  • ・次の時代を創るリーダーとは?

[Special Interview]

 榊原定征(2025日本万国博覧会誘致委員会会長)

 「誘致決定まで1カ月 大阪万博を日本経済の起爆剤に」

[NEWS REPORT]

◆コンビニ軽減税率適用で激化する「外食VS中食」の戦い

◆「液晶のシャープ」が有機ELスマホを発売 初の国産パネルで攻勢をかける

◆「世界一高い」と認定された日本の携帯料金のこれから

◆チャネル政策を見直すトヨタ自動車の危機感

[特集2]

 北海道・新時代の幕開け

ページ上部へ戻る